Magento公式から、セキュリティパッチのリリースを装うマルウェアメールに関する注意喚起が出されています。
この注意喚起は元々Willem de Groot氏が自身のブログ記事Twitterで行っていたものです。

このメールはMagentoのサイト運営者をターゲットにして送信されているため、攻撃者は何らかの方法で運営者のメールアドレスを収集し、送信しているものと思われます。

Magentoはセキュリティパッチをメール添付しない

とても重要な事ですが、Magentoは未だかつて、セキュリティパッチをメール添付で配布したことは一度もありません。
すべて公式サイトからダウンロードする形式を取っています。

また、Magento2に関してはセキュリティパッチではなくアプリケーション自体のアップデートという形でセキュリティ対応を行う方式になっているため、このようなリリースは行われません。

マルウェアと思われるメールを受信したら

もし、差出人がMagentoで添付ファイルのあるメールを受信したら、決してメールを開かないで下さい。
もちろん添付ファイルも開いてはいけません。
最も良い手段は、読まずに削除することです。

誤ってメールを開いたり、添付ファイルを開いてしまったら?

すぐにネットワーク接続を切断してください。有線LANなどの場合はケーブルを外します。無線LANなどの場合は、大至急無効化してください。

その後速やかに電源をオフにして、信頼できる相談先(サイトの保守担当者やセキュリティ企業)に相談してください。